訂閱
糾錯(cuò)
加入自媒體

數(shù)據(jù)安全合規(guī)這門必修課,企業(yè)不再缺席

數(shù)據(jù)作為新型生產(chǎn)要素,占據(jù)著國(guó)家戰(zhàn)略資源地位。然而,層出不窮的數(shù)據(jù)泄露事件也給數(shù)字化轉(zhuǎn)型中的企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)和巨額損失的可能性。

據(jù)IBM安全發(fā)布的《2023年數(shù)據(jù)泄露成本報(bào)告》顯示,2023年數(shù)據(jù)泄露的全球平均成本上升至445萬(wàn)美元,達(dá)到歷史新高,比2022年的435萬(wàn)美元增加了2.3%,比2020年的386萬(wàn)美元增加了15.3%。

近年來(lái),從歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例》(GDPR)以來(lái),全球掀起了數(shù)據(jù)安全與隱私的立法熱潮,對(duì)企業(yè)提出了更高的數(shù)據(jù)安全合規(guī)性要求。

我國(guó)數(shù)據(jù)安全相關(guān)立法進(jìn)程也明顯加快,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法(草案)》等系列政策法規(guī)相繼出臺(tái),強(qiáng)化了數(shù)據(jù)安全的法制基礎(chǔ)。

那么,在數(shù)字經(jīng)濟(jì)時(shí)代,企業(yè)應(yīng)該如何在確保數(shù)據(jù)安全的前提下,有效發(fā)揮數(shù)據(jù)資產(chǎn)的商業(yè)價(jià)值?數(shù)據(jù)安全隱患究竟容易出現(xiàn)在哪些環(huán)節(jié),數(shù)據(jù)又是如何被保護(hù)的?

企業(yè)數(shù)據(jù)應(yīng)用面臨多重挑戰(zhàn)

隨著數(shù)據(jù)量急劇增長(zhǎng),接觸數(shù)據(jù)的用戶角色流動(dòng)頻繁,企業(yè)數(shù)據(jù)面臨著復(fù)雜的暴露風(fēng)險(xiǎn)和擴(kuò)散濫用風(fēng)險(xiǎn),也面臨著數(shù)據(jù)安全共享和協(xié)作的挑戰(zhàn)。

首先,數(shù)據(jù)牽涉到很多業(yè)務(wù)的價(jià)值,需要保證絕對(duì)的安全和合規(guī)要求。

在企業(yè)中,合規(guī)團(tuán)隊(duì)需要保證敏感數(shù)據(jù)能被有效識(shí)別并得到合理的保護(hù)和存儲(chǔ)。數(shù)據(jù)和業(yè)務(wù)團(tuán)隊(duì)需要在確保數(shù)據(jù)安全的前提下進(jìn)行高效協(xié)作。運(yùn)營(yíng)和安全團(tuán)隊(duì)也希望在自身的范圍內(nèi),滿足所有與數(shù)據(jù)安全相關(guān)的需求,應(yīng)對(duì)由此帶來(lái)的挑戰(zhàn)。

針對(duì)多個(gè)業(yè)務(wù)部門對(duì)數(shù)據(jù)的要求,亞馬遜云科技大中華區(qū)產(chǎn)品部總經(jīng)理陳曉建表示,企業(yè)要實(shí)現(xiàn)數(shù)據(jù)的安全合規(guī),需要人、流程、工具的相互配合。

因此,在數(shù)據(jù)安全合規(guī)方面,亞馬遜云科技專門推出了敏感數(shù)據(jù)保護(hù)解決方案(Sensitive Data Protection on Amazon Web Services, SDP)。

這是一個(gè)開(kāi)源的數(shù)據(jù)安全及數(shù)據(jù)隱私云原生解決方案,利用機(jī)器學(xué)習(xí)、模式匹配等方式自動(dòng)識(shí)別敏感數(shù)據(jù),允許客戶創(chuàng)建數(shù)據(jù)目錄、使用內(nèi)置或定制數(shù)據(jù)識(shí)別規(guī)則定義敏感數(shù)據(jù)類型。

其次,數(shù)據(jù)在企業(yè)內(nèi)被安全有效地發(fā)現(xiàn)、共享和協(xié)作,才能夠高效挖掘出數(shù)據(jù)的價(jià)值。

目前,在數(shù)據(jù)團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)協(xié)作方式上,集中式和聯(lián)邦式是比較常見(jiàn)的兩種類型。

集中式是指負(fù)責(zé)治理運(yùn)營(yíng)的人主要集中在數(shù)據(jù)團(tuán)隊(duì),并負(fù)責(zé)所有治理工作,能夠?qū)崿F(xiàn)快速的決策和高效的執(zhí)行,適合剛開(kāi)始數(shù)據(jù)分析之旅和小型組織的客戶。

聯(lián)邦式是指總的治理原則/政策有特定團(tuán)隊(duì)負(fù)責(zé),但負(fù)責(zé)治理運(yùn)營(yíng)的人可以分散在各業(yè)務(wù)線,這樣業(yè)務(wù)部門擁有自己的數(shù)據(jù),并在組織的監(jiān)督下做出決策,以滿足其特定需求和目標(biāo),適合多BU的中大型企業(yè)或跨國(guó)企業(yè)。

這兩種類型的協(xié)作方式都需要多個(gè)角色高效協(xié)同,特別是聯(lián)邦式治理更是對(duì)“數(shù)據(jù)可見(jiàn)”需求迫切。

在這種迫切需求背景下,亞馬遜云科技在去年推出一項(xiàng)全新的數(shù)據(jù)管理服務(wù)Amazon DataZone,可以讓客戶更快地對(duì)存儲(chǔ)在亞馬遜云科技、客戶本地和第三方來(lái)源的數(shù)據(jù)進(jìn)行編目、發(fā)現(xiàn)、共享和治理。

再次,企業(yè)之間需要產(chǎn)業(yè)上下游數(shù)據(jù)協(xié)作來(lái)快速創(chuàng)新,多方數(shù)據(jù)需要安全地共享和分析。

在實(shí)際的場(chǎng)景中,數(shù)據(jù)協(xié)作的所有參與者都需要面對(duì)數(shù)據(jù)保護(hù)與業(yè)務(wù)價(jià)值安全之間的權(quán)衡,F(xiàn)在有一些企業(yè)實(shí)現(xiàn)數(shù)據(jù)協(xié)作的方式是向合作伙伴提供數(shù)據(jù)副本,并依賴合同協(xié)議防止濫用。

但是,顯而易見(jiàn),這樣的方式仍然發(fā)生了數(shù)據(jù)移動(dòng),依然存在數(shù)據(jù)誤用和泄漏的風(fēng)險(xiǎn)。

對(duì)此,亞馬遜云科技推出了Amazon Clean Rooms,實(shí)現(xiàn)了匹配、分析和協(xié)作彼此的數(shù)據(jù),而不需要移動(dòng)或者暴露原始數(shù)據(jù),安全地實(shí)現(xiàn)數(shù)據(jù)分析協(xié)作。

對(duì)于數(shù)據(jù)提供方而言,不僅可以通過(guò)數(shù)據(jù)預(yù)加密來(lái)對(duì)數(shù)據(jù)進(jìn)行保護(hù),而且因?yàn)樗谐蓡T都是直接從自己的Amazon S3貢獻(xiàn)數(shù)據(jù),從而真正實(shí)現(xiàn)了只有數(shù)據(jù)查詢和分析而沒(méi)有數(shù)據(jù)移動(dòng)。

不僅如此,亞馬遜云科技還推出了Amazon Data Exchange,幫助企業(yè)獲取第三方數(shù)據(jù)來(lái)協(xié)作創(chuàng)新。

目前,Amazon Data Exchange提供超過(guò)3500種的第三方數(shù)據(jù),數(shù)據(jù)來(lái)源包括金融、天氣、地理空間、健康醫(yī)療等等非常多的行業(yè)和領(lǐng)域,能夠使客戶能夠輕松在云上找到、訂閱和使用第三方數(shù)據(jù)。

最后,隨著數(shù)據(jù)安全和治理的工具越來(lái)越多,安全日志需要被統(tǒng)一管理及分析以提升效率。

日常的安全日志管理如何更加高效,以及在發(fā)生一些安全風(fēng)險(xiǎn)的時(shí)候,如何通過(guò)日志可以快速且有效地追溯到問(wèn)題的源頭,是每個(gè)企業(yè)都會(huì)碰到的問(wèn)題。

由于歷史的原因,很多企業(yè)所使用的系統(tǒng)并不統(tǒng)一,不同的廠商所提供的安全系統(tǒng),安全日志的格式也各不相同。

為了高效解決這一問(wèn)題,亞馬遜云科技創(chuàng)立了業(yè)界第一個(gè)專門用于安全的數(shù)據(jù)庫(kù)——Amazon Security Lake,自動(dòng)將來(lái)自多云、本地和第三方的安全數(shù)據(jù)集中到一個(gè)專門構(gòu)建的數(shù)據(jù)湖中,并且使用OCSF統(tǒng)一格式。

同時(shí),這個(gè)數(shù)據(jù)湖本身的安全性由亞馬遜云科技來(lái)保證,可以實(shí)現(xiàn)自動(dòng)加密管理。

企業(yè)數(shù)據(jù)應(yīng)用走向安全合規(guī)化

在過(guò)去十余年,國(guó)內(nèi)企業(yè)踐行數(shù)據(jù)安全遵循著由點(diǎn)及面、由少到多的特性。

具體來(lái)說(shuō),早前在政策未強(qiáng)制要求時(shí),重視數(shù)據(jù)安全建設(shè)的企業(yè),往往身處金融、互聯(lián)網(wǎng)等領(lǐng)域——由于業(yè)務(wù)和數(shù)據(jù)安全強(qiáng)綁定,它們較早即自發(fā)開(kāi)展相關(guān)建設(shè)。

但在更多領(lǐng)域,如教育、醫(yī)療、制造業(yè)等,不少企業(yè)在法律法規(guī)完善前并未意識(shí)到數(shù)據(jù)安全的重要性。

但在新的數(shù)據(jù)安全法律法規(guī)的作用下,如今企業(yè)需要做到的遠(yuǎn)不止內(nèi)容不被丟失、濫用,和數(shù)據(jù)被安全地存放在“保險(xiǎn)箱”中——它們需要在存儲(chǔ)安全的基礎(chǔ)上更進(jìn)一步,關(guān)注數(shù)據(jù)在不斷流動(dòng)狀態(tài)下的安全性,在整個(gè)業(yè)務(wù)活動(dòng)中都做到對(duì)數(shù)據(jù)的安全管控。

新的監(jiān)管和業(yè)務(wù)需求之下,不少企業(yè)開(kāi)始使用創(chuàng)新性的安全合規(guī)和管理產(chǎn)品,去解決傳統(tǒng)數(shù)據(jù)安全無(wú)法應(yīng)對(duì)的挑戰(zhàn)。

深圳兆瓏科技有限公司作為一家全球化的物聯(lián)網(wǎng)通用設(shè)備平臺(tái)服務(wù)商和商用設(shè)備研發(fā)企業(yè),在數(shù)據(jù)安全合規(guī)和分析方面就探索出了自身的最佳實(shí)踐。

隨著設(shè)備量、數(shù)據(jù)量的增多,深圳兆瓏科技每天的數(shù)據(jù)量暴增,之前的SIEM安全分析平臺(tái)解決方案已經(jīng)不能滿足金融行業(yè)對(duì)于安全數(shù)據(jù)快速收集、有效管理、高效分析的安全合規(guī)要求。

同時(shí),超過(guò)20多種的安全數(shù)據(jù)類型,以及企業(yè)系統(tǒng)環(huán)境的多元化,使得數(shù)據(jù)的安全存儲(chǔ)和權(quán)限管理成為巨大挑戰(zhàn);對(duì)于安全日志的多樣化分析,包括可視化、報(bào)警、快速分析以及未來(lái)可能做一些基于業(yè)務(wù)的預(yù)測(cè)模型,也成為新的難題。

基于此,深圳兆瓏科技從兩方面入手:

一是,依托亞馬遜云科技全球的基礎(chǔ)設(shè)施和全球安全合規(guī)認(rèn)證和服務(wù),在安全合規(guī)落地過(guò)程中實(shí)現(xiàn)降本增效,快速地實(shí)現(xiàn)安全合規(guī),并保障合規(guī)的持續(xù)性;

二是,依托亞馬遜云科技安全數(shù)據(jù)湖Amazon Security Lake,對(duì)多元化的安全數(shù)據(jù)日志進(jìn)行分析,包括:系統(tǒng)外部威脅攻擊的分析、系統(tǒng)內(nèi)部的威脅檢測(cè)和分析、金融黑產(chǎn)的風(fēng)控以及企業(yè)用戶行為的分析等。

利用這些日志分析的工具還可以生成合規(guī)報(bào)告,為客戶和審計(jì)提供審計(jì)上的證據(jù)。

據(jù)深圳兆瓏科技云上安全與合規(guī)負(fù)責(zé)人李少奕介紹,經(jīng)過(guò)安全合規(guī)的全面升級(jí)后,目前企業(yè)已滿足了PCI-DSS金融合規(guī)對(duì)日志的監(jiān)控與分析的全部9項(xiàng)要求,安全日志收集效率提升了40%,安全日志存儲(chǔ)成本降低了60%。同時(shí),提升了安全數(shù)據(jù)管理和分析的效率。

結(jié)語(yǔ)

數(shù)字經(jīng)濟(jì)時(shí)代,無(wú)論是大型企業(yè)還是中小型企業(yè),無(wú)論是國(guó)內(nèi)企業(yè)還是跨境企業(yè),都會(huì)面臨數(shù)據(jù)安全合規(guī)和數(shù)據(jù)管理的挑戰(zhàn)。企業(yè)想要用好數(shù)據(jù),背后就需要大量的技術(shù)進(jìn)行支撐。

走上數(shù)據(jù)安全合規(guī)技術(shù)之路,或許只會(huì)遲到不會(huì)缺席。

 相關(guān)閱讀

穿行數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)如何找到“安全感”?

數(shù)據(jù)安全法之下,數(shù)據(jù)確權(quán)有法可依嗎?

“暴風(fēng)驟雨”之下,企業(yè)數(shù)據(jù)安全能力建設(shè)迎來(lái)“覺(jué)醒年代”

用戶信息泄露事件頻現(xiàn),數(shù)據(jù)安全建設(shè)該如何升級(jí)?

【科技云報(bào)道原創(chuàng)】

轉(zhuǎn)載請(qǐng)注明“科技云報(bào)道”并附本文鏈接

       原文標(biāo)題 : 數(shù)據(jù)安全合規(guī)這門必修課,企業(yè)不再缺席

聲明: 本文由入駐維科號(hào)的作者撰寫(xiě),觀點(diǎn)僅代表作者本人,不代表OFweek立場(chǎng)。如有侵權(quán)或其他問(wèn)題,請(qǐng)聯(lián)系舉報(bào)。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

    人工智能 獵頭職位 更多
    掃碼關(guān)注公眾號(hào)
    OFweek人工智能網(wǎng)
    獲取更多精彩內(nèi)容
    文章糾錯(cuò)
    x
    *文字標(biāo)題:
    *糾錯(cuò)內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號(hào)